La función "Direct Send" de Microsoft 365 explotada en una nueva táctica de phishing
por
Última actualización: 3 Tiempo de lectura: 3 min
Puntos clave
- Los ciberdelincuentes están abusando de Direct Send de Microsoft 365 para enviar correos electrónicos de phishing que eluden las comprobaciones SPF, DKIM y DMARC.
- El ataque suplanta cuentas internas a través de una función legítima destinada a dispositivos internos, eludiendo los filtros de seguridad.
- Las cargas útiles incluyen códigos QR y archivos HTML adjuntos que roban credenciales, y algunos ataques se han rastreado hasta IP extranjeras.
- Medidas de protección: activar Rechazar envío directo, aplicar DMARC estricto, utilizar sellado de encabezado y poner en cuarentena las comprobaciones fallidas.
Los ciberdelincuentes se están aprovechando de la función de envío directo de Microsoft 365 para enviar correos electrónicos de phishing muy convincentes que parecen proceder de usuarios internos de confianza, eludiendo las comprobaciones estándar de autenticación de correo electrónico como SPF, DKIM y DMARC.
El exploit fue documentado por investigadores de StrongestLayer tras observar cómo los atacantes atacaban con éxito a uno de sus clientes.
¿Cómo funciona el ataque de phishing Microsoft Direct Send?
El ataque abusa de una función legítima diseñada para ayudar a impresoras, escáneres y sistemas internos a enviar mensajes sin autenticación compleja. Al hacerse pasar por cuentas internas, los atacantes eluden muchas comprobaciones basadas en políticas que suelen filtrar los mensajes externos, con lo que consiguen evadir tanto a Microsoft Defender y las puertas de enlace de correo electrónico seguras de terceros. Esto afecta a las implementaciones de Microsoft 365/Exchange Online en particular; incluso los entornos en los que los usuarios ejecutan Office 2024 como su suite de escritorio pueden verse afectados si Direct Send permanece habilitado en la capa de correo.
Una vez que se aprovecha la confianza en la comunicación interna de la organización objetivo, los atacantes pueden enviar una variedad de contenido malicioso, desde cargas útiles basadas en códigos QR hasta archivos adjuntos HTML, que recopilan credenciales sin activar las defensas habituales. En un caso documentado, los correos electrónicos de phishing se originaron en direcciones IP de Ucrania y Francia, pero se procesaron como tráfico de confianza.
Medidas preventivas
Microsoft ha introducido opciones para que las organizaciones apliquen políticas personalizadas de sellado de encabezados y cuarentena para los mensajes que afirman falsamente ser internos. Los expertos en seguridad también recomiendan activar Rechazar envío directo de Microsoft de Microsoft y aplicar una política DMARC estrictay poner en cuarentena los mensajes que no superen las comprobaciones de autenticidad.
Palabras finales
Las defensas proactivas ya no son opcionales, especialmente cuando los atacantes abusan de los sistemas de confianza para eludir la seguridad tradicional. Al combinar las medidas de refuerzo de Microsoft 365 con la aplicación de autenticación avanzada, las organizaciones pueden reducir drásticamente su exposición a estas tácticas.
La plataforma de gestión DMARC de PowerDMARC le ayuda a implantar y mantener estrictas políticas de autenticación, supervisar los intentos de suplantación de identidad en tiempo real y detener los ataques de phishing antes de que lleguen a sus usuarios. Póngase en contacto hoy mismo para programar una demostración gratuita o hablar con un experto.
Preguntas frecuentes
¿Qué es Microsoft 365 Direct Send?
Es una característica de Microsoft 365 que permite a los dispositivos y aplicaciones de una organización enviar correo electrónico sin autenticación compleja, pensada para la comunicación interna.
¿Por qué es objeto de abuso por parte de los atacantes?
La función de envío directo permite enviar mensajes sin autenticación. De este modo, los atacantes pueden hacer que los correos electrónicos parezcan internos, eludiendo muchos controles de seguridad.
¿Cómo pueden protegerse las organizaciones?
Active la función Rechazar envío directo de Microsoft, implemente el sellado de encabezados, aplique una política DMARC estricta y ponga en cuarentena los mensajes que no superen las comprobaciones de autenticidad.
¿Qué sectores están más amenazados?
La actividad reciente se ha centrado en gran medida en los servicios financieros, la industria manufacturera y las organizaciones sanitarias de Estados Unidos.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Caso práctico de DMARC para MSP: Cómo Digital Infinity IT Group optimizó la gestión de DMARC y DKIM para sus clientes con PowerDMARC - 21 de abril de 2026
- ¿Qué es DANE? Explicación de la autenticación de entidades con nombre basada en el DNS (2026) - 20 de abril de 2026
- Introducción a la seguridad de las VPN: prácticas recomendadas para proteger tu privacidad - 14 de abril de 2026
